Organizacja podróży służbowych a RODO
Z licznych obowiązków, które nałożyło na pracodawców Ogólne Rozporządzenie o Ochronie Danych (RODO), spore problemy sprawia prawidłowe określenie roli podmiotu, któremu w ramach współpracy przekazywane są dane osobowe pracowników.
Często pojawiają się wątpliwości czy pracodawca powinien zawrzeć umowę powierzenia z kontrahentem, czy jednak właściwym rozwiązaniem będzie udostępnienie danych pracowników. W związku z tym – czy kontrahent będzie pełnił role podmiotu przetwarzającego dane pracowników, czy stanie się ich administratorem?
W poprzednim artykule rozprawiliśmy się z kwestią przekazywania danych kontaktowych pracowników kontrahentom (artykuł znajdziesz TUTAJ)
Wskazaliśmy, że dane kontaktowe pracowników są udostępniane kontrahentom, a właściwą podstawą prawną do ich udostępnienia jest art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. W tym przypadku prawnie uzasadnionym interesem pracodawcy jest umożliwienie komunikacji z osobami kontaktowymi w zakresie realizacji umowy.
W dzisiejszym artykule dokonamy analizy procesu związanego z przekazywaniem danych osobowych pracowników do kontrahenta – biura podróży. Tym razem nie będą to wyłącznie dane kontaktowe pracownika, a informacje niezbędne do zorganizowania podróży służbowej.
Mając na uwadze fakt, że współpraca z podmiotami nawet z tej samej branży może odbywać się na zupełnie innych warunkach, przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.
Stan faktyczny
- Biuro podróży świadczy na rzecz Spółki XYZ usługę organizacji podróży służbowych. W związku z tym dochodzi do przekazywania danych osobowych pracowników Spółki. Lista wszystkich pracowników wgrywana jest do platformy zarządzanej przez biuro podróży i na bieżąco aktualizowana przez dedykowanego pracownika Spółki. Przekazywane są dane w następującym zakresie: imię, nazwisko, adres e-mail, stanowisko, nr pracowniczy, dane kontaktowe przełożonego, limit cenowy biletów. Uprawnienia dostępu do platformy nie są przyznawane każdemu pracownikowi, którego dane są przekazywane.
- Spółka XYZ jako pracodawca, decyduje którzy pracownicy w ramach świadczonej pracy, będą zobowiązani do odbywania podróży służbowych, ustala kierunek podróży, termin podróży, limit cenowy na realizację usługi świadczonej przez biuro podróży.
- W ramach współpracy biuro podróży pośredniczy lub dokonuje m. in.:
- rezerwacji usług hotelowych
- rezerwacji biletów lotniczych
- Świadczenie powyższych usług, wiąże się z udostępnianiem danych osobowych pracowników przez biuro podróży hotelom i liniom lotniczym, w zakresie niezbędnym do realizacji danej usługi.
Analiza terminu „administrator danych”
- podejmuje decyzję dotyczącą określonego celu, czyli tego czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe,
- decyduje o sposobach przetwarzania danych.
Należy zwrócić uwagę, że drugi z czynników, który kwalifikuje podmiot jako administratora, może być trudniejszy do ustalenia w praktyce.
Słusznie wskazuje się, że podmiot przetwarzający, głównie ten o dużym udziale w rynku w swojej specjalizacji, decyduje de facto o środkach, a zwłaszcza o technicznych sposobach przetwarzania i niejednokrotnie właśnie to, że dysponuje tymi środkami, jest powodem powierzenia mu przetwarzania danych.
Z kolei podejmowanie decyzji o sposobach przetwarzania, odbywa się w istocie już w momencie decydowania o powierzeniu realizacji danego procesu podmiotowi przetwarzającemu. Tym samym, decyzją o sposobach przetwarzania jest już decyzja o niesamodzielnej realizacji danego procesu.
Powierzenie danych oraz ich udostępnienie uregulowane w jednej umowie – czy to możliwe?
Ustaliliśmy już, że w przypadku współpracy Spółki XYZ z biurem podróży dochodzi do powierzenia przetwarzania danych osobowych pracowników. W takiej sytuacji art. 28 ust. 3 RODO nakłada obowiązek zawarcia umowy powierzenia lub innego instrumentu prawnego, wiążącego administratora danych – Spółkę XYZ i podmiot przetwarzający – biuro podróży.
Udostępnienie danych stanowi zatem jedną z form wykonywania czynności na danych osobowych – przetwarzania danych. Warto podkreślić, że z udostępnieniem danych osobowych mamy do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych rolę administratora danych. Kwestia sposobu udostępnienia danych pozostawiona została do decyzji podmiotom przekazującym dane osobowe.
W analizowanym procesie tj. organizacji podróży służbowych, biuro podróży pełniące rolę podmiotu przetwarzającego jest uprawnione do wykonywania szeregu czynności na danych osobowych pracowników, w tym udostępnienia danych w imieniu Spółki XYZ do przewoźników lotniczych i hoteli.
Wniosek
Spółka XYZ współpracuje z biurem podróży. W związku ze świadczonymi przez biuro podróży usługami Spółka powierza dane osobowe swoich pracowników. Dane powierzane są w określonym przez Spółkę celu – usprawnienia procesu organizacji podróży. Podejmując decyzję o skorzystaniu z usług konkretnego biura podróży, Społka pełniąca rolę administratora danych pracowników, ustala również sposób przetwarzania tych danych.
W związku z powyższym, biuro podróży w procesie organizacji podróży służbowych względem danych osobowych pracowników Spółki XYZ, pełni rolę podmiotu przetwarzającego. Niezbędne jest zatem zawarcie przez strony umowy powierzenia danych osobowych, w której zgodnie z art. 28 ust. 3 RODO określony zostanie: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. WKP 2018. Red. Paweł Litwiński, Paweł Barta, Maciej Kawecki;
- RODO Ogólne rozporządzenie o ochronie danych. Komentarz. WKP 2018. Red. Edyta Bielak- Jomaa, Dominik Lubasz.
Powiązane artykuły
5 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam, bardzo ciekawy artykuł. Jasno i precyzyjnie określone role poszczególnych podmiotów. Mam nadzieję na więcej takich wpisów z Państwa strony 🙂 Może następnym razem poruszą Państwo problematykę zależności między firmą ubezpieczającą, brokerem, a zakładem pracy, który zamawia ubezpieczenie właśnie poprzez brokera. Nie spotkałam się jeszcze nigdzie z interpretacją tego problemu od strony pracodawcy, wszędzie jest tylko spojrzenie na brokera od strony zakładu ubezpieczeń.
Dzień dobry. Dziękujemy za miłą opinię! 🙂 Co do propozycji – jak mówił Jerzy Kiler „Pomyślimy…”. 😉 Pozdrawiamy!
Witam,
czy uczelnie mogą powoływać się na art. 6 lit. e przy przetwarzaniu danych osobowych.
Pozdrawiam
Dzień dobry. Jeśli jest to adekwatna podstawa do danego celu przetwarzania – tak. Pozdrawiamy! 😉
Dziękuję za odpowiedź,
nurtuje mnie cel przetwarzania w interesie publicznym lub sprawowaniu władzy publicznej przez „uczelnię”.
Pozdrawiam